Mengontrol akses dengan IAM

Halaman ini menjelaskan cara Anda menggunakan peran dan izin Identity and Access Management (IAM) untuk mengontrol akses ke data Error Reporting di resource Google Cloud.

Ringkasan

Izin dan peran IAM menentukan kemampuan Anda untuk mengakses data melalui Error Reporting API dan Konsol Google Cloud.

Untuk menggunakan Error Reporting dalam resource Google Cloud, seperti project, folder, atau organisasi Google Cloud, Anda harus diberi peran IAM pada resource tersebut. Peran ini harus berisi izin yang sesuai.

Peran adalah kumpulan izin. Anda tidak dapat memberikan izin utama secara langsung. Sebagai gantinya, Anda memberinya peran. Saat memberikan peran kepada akun utama, Anda memberi mereka semua izin yang dimiliki peran tersebut. Anda dapat memberikan beberapa peran ke akun utama yang sama.

Peran yang telah ditetapkan

IAM menyediakan peran bawaan untuk memberikan akses terperinci ke resource Google Cloud tertentu. Google Cloud membuat dan mengelola peran-peran tersebut serta otomatis memperbarui izinnya sesuai keperluan, misalnya saat Error Reporting menambahkan fitur baru.

Tabel berikut mencantumkan peran Error Reporting, judul peran, deskripsinya, izin yang terdapat, dan jenis resource level terendah tempat peran dapat ditetapkan. Peran tertentu dapat diberikan pada jenis resource ini, atau dalam sebagian besar kasus, jenis apa pun di atasnya dalam hierarki Google Cloud.

Untuk mengetahui daftar setiap izin yang terdapat dalam peran, lihat Mendapatkan metadata peran.

Role Permissions

Role	Permissions
Error Reporting Admin ^Beta (`roles/errorreporting.admin`) Provides full access to Error Reporting data. Lowest-level resources where you can grant this role: Project	`cloudnotifications.activities.list` `errorreporting.` `errorreporting.applications.list` `errorreporting.errorEvents.create` `errorreporting.errorEvents.delete` `errorreporting.errorEvents.list` `errorreporting.groupMetadata.get` `errorreporting.groupMetadata.update` `errorreporting.groups.list` `logging.notificationRules.` `logging.notificationRules.create` `logging.notificationRules.delete` `logging.notificationRules.get` `logging.notificationRules.list` `logging.notificationRules.update` `resourcemanager.projects.get` `resourcemanager.projects.list` `stackdriver.projects.get`
Error Reporting User ^Beta (`roles/errorreporting.user`) Provides the permissions to read and write Error Reporting data, except for sending new error events. Lowest-level resources where you can grant this role: Project	`cloudnotifications.activities.list` `errorreporting.applications.list` `errorreporting.errorEvents.delete` `errorreporting.errorEvents.list` `errorreporting.groupMetadata.` `errorreporting.groupMetadata.get` `errorreporting.groupMetadata.update` `errorreporting.groups.list` `logging.notificationRules.` `logging.notificationRules.create` `logging.notificationRules.delete` `logging.notificationRules.get` `logging.notificationRules.list` `logging.notificationRules.update` `resourcemanager.projects.get` `resourcemanager.projects.list` `stackdriver.projects.get`
Error Reporting Viewer ^Beta (`roles/errorreporting.viewer`) Provides read-only access to Error Reporting data. Lowest-level resources where you can grant this role: Project	`cloudnotifications.activities.list` `errorreporting.applications.list` `errorreporting.errorEvents.list` `errorreporting.groupMetadata.get` `errorreporting.groups.list` `logging.notificationRules.get` `logging.notificationRules.list` `resourcemanager.projects.get` `resourcemanager.projects.list` `stackdriver.projects.get`
Error Reporting Writer ^Beta (`roles/errorreporting.writer`) Provides the permissions to send error events to Error Reporting. Lowest-level resources where you can grant this role: Service Account	`errorreporting.errorEvents.create`

Error Reporting Admin ^Beta

(roles/errorreporting.admin)

Provides full access to Error Reporting data.

Lowest-level resources where you can grant this role:

Project

cloudnotifications.activities.list

errorreporting.*

errorreporting.applications.list
errorreporting.errorEvents.create
errorreporting.errorEvents.delete
errorreporting.errorEvents.list
errorreporting.groupMetadata.get
errorreporting.groupMetadata.update
errorreporting.groups.list

logging.notificationRules.*

logging.notificationRules.create
logging.notificationRules.delete
logging.notificationRules.get
logging.notificationRules.list
logging.notificationRules.update

resourcemanager.projects.get

resourcemanager.projects.list

stackdriver.projects.get

Error Reporting User ^Beta

(roles/errorreporting.user)

Provides the permissions to read and write Error Reporting data, except for sending new error events.

Lowest-level resources where you can grant this role:

Project

cloudnotifications.activities.list

errorreporting.applications.list

errorreporting.errorEvents.delete

errorreporting.errorEvents.list

errorreporting.groupMetadata.*

errorreporting.groupMetadata.get
errorreporting.groupMetadata.update

errorreporting.groups.list

logging.notificationRules.*

logging.notificationRules.create
logging.notificationRules.delete
logging.notificationRules.get
logging.notificationRules.list
logging.notificationRules.update

resourcemanager.projects.get

resourcemanager.projects.list

stackdriver.projects.get

Error Reporting Viewer ^Beta

(roles/errorreporting.viewer)

Provides read-only access to Error Reporting data.

Lowest-level resources where you can grant this role:

Project

cloudnotifications.activities.list

errorreporting.applications.list

errorreporting.errorEvents.list

errorreporting.groupMetadata.get

errorreporting.groups.list

logging.notificationRules.get

logging.notificationRules.list

resourcemanager.projects.get

resourcemanager.projects.list

stackdriver.projects.get

Error Reporting Writer ^Beta

(roles/errorreporting.writer)

Provides the permissions to send error events to Error Reporting.

Lowest-level resources where you can grant this role:

Service Account

errorreporting.errorEvents.create

Izin API

Metode Error Reporting API memerlukan izin IAM tertentu. Tabel berikut mencantumkan dan menjelaskan izin yang diperlukan oleh metode API.

Metode	Izin yang diperlukan	Deskripsi
`deleteEvents`	`errorreporting.errorEvents.delete`	Menghapus peristiwa error.
`events.list`	`errorreporting.errorEvents.list`	Membuat daftar peristiwa error.
`events.report`	`errorreporting.errorEvents.create`	Membuat atau memperbarui peristiwa error.
`groupStats.list`	`errorreporting.groups.list`	Daftar `ErrorGroupStats`.
`groups.get`	`errorreporting.groupMetadata.get`	Mengambil informasi grup error.
`groups.update`	`errorreporting.groupMetadata.update` `errorreporting.applications.list`	Memperbarui dan menonaktifkan informasi grup error. Ubah status penyelesaian error. Mencantumkan layanan dan versi untuk sebuah project.

Pertimbangan lebih lanjut

Saat menentukan izin dan peran yang berlaku untuk kasus penggunaan akun utama, pertimbangkan ringkasan aktivitas Error Reporting dan izin yang diperlukan berikut:

Aktivitas	Izin yang diperlukan
Memiliki akses hanya baca ke halaman konsol Google Cloud Error Reporting.	`errorreporting.applications.list` `errorreporting.groupMetadata.get` `errorreporting.groups.list`
Lihat detail grup di Konsol Google Cloud.	Izin untuk akses hanya baca, dan: `errorreporting.errorEvents.list`
Mengubah metadata di konsol Google Cloud. Mengubah status penyelesaian error, termasuk menonaktifkan error.	Izin untuk akses hanya baca, dan: `errorreporting.groupMetadata.update`
Hapus error di konsol Google Cloud.	Izin untuk akses hanya baca, dan: `errorreporting.errorEvents.delete`
Membuat error (tidak diperlukan izin Konsol Google Cloud).	`errorreporting.errorEvents.create`
Berlangganan notifikasi.	Izin untuk akses hanya baca, dan: `cloudnotifications.activities.list`

Memberikan dan mengelola peran

Anda dapat memberikan dan mengelola peran IAM menggunakan Google Cloud Console, metode IAM API, atau Google Cloud CLI. Untuk mengetahui petunjuk tentang cara memberikan dan mengelola peran, lihat Memberikan, mengubah, dan mencabut akses.

Anda dapat memberikan beberapa peran kepada pengguna yang sama. Untuk mendapatkan daftar izin yang terdapat dalam peran, lihat Mendapatkan metadata peran.

Jika Anda mencoba mengakses resource Google Cloud tetapi tidak memiliki izin yang diperlukan, hubungi pengguna yang tercantum sebagai Pemilik untuk resource tersebut.

Peran khusus

Untuk membuat peran khusus dengan izin Error Reporting, pilih izin dari izin API, lalu ikuti petunjuk untuk membuat peran kustom.

Latensi perubahan peran

Error Reporting menyimpan izin IAM dalam cache selama 5 menit, sehingga perlu waktu hingga 5 menit sampai perubahan peran diterapkan.

Mengontrol akses dengan IAM

Ringkasan

Peran yang telah ditetapkan

Error Reporting Admin Beta

Error Reporting User Beta

Error Reporting Viewer Beta

Error Reporting Writer Beta

Izin API

Pertimbangan lebih lanjut

Memberikan dan mengelola peran

Peran khusus

Latensi perubahan peran

Error Reporting Admin ^Beta

Error Reporting User ^Beta

Error Reporting Viewer ^Beta

Error Reporting Writer ^Beta